适合协同可信网络连接模型的间接交互实现方法及其系统

摘要

本发明涉及一种适合协同可信网络连接模型的间接交互实现方法及其系统。该方法包括以下步骤：1)ASD由终端获取终端的安全状态信息，评估终端的安全状态信息产生安全状态评估结果，并将安全状态评估结果发送给终端，ASD产生终端的安全状态评估结果时还记录生成终端的安全状态评估结果时的时戳TSASD，并将TSASD发送给终端；2)终端将ASD对终端的安全状态评估结果和时戳TSASD发送给RSD；3)RSD验证ASD对终端的安全状态评估结果和时戳TSASD后根据验证结果向终端提供服务。本发明中ASD与RSD在过程中不存在直接交换，通过时钟同步，保证了RSD收到的ASD对终端的安全状态评估结果的不可重放。

说明书

技术领域

本发明涉及通信领域，尤其是一种适合协同可信网络连接模型的间接交互实现方法及其系统。

背景技术

随着信息化的发展，病毒、蠕虫等恶意软件的问题异常突出。目前已经出现了超过三万五千种的恶意软件，每年都有超过四千万的计算机被感染。要遏制住这类攻击，不仅要借助解决安全的传输和数据输入时的检查，还要从源头即从每一台连接到网络的终端开始防御。而传统的安全防御技术已经无法防御种类繁多的恶意攻击。

为了解决上述问题，业内提出了多种可信网络连接技术，如：国际可信计算组织(Trusted Computing Group，TCG)的可信网络连接(Trusted NetworkConnect，TNC)技术、微软的网络接入保护(Network Access Protection，NAP)技术和思科的网络接入控制(Network Access Control，NAC)技术等。但是，当一个安全域内的终端要访问另一个安全域内的服务时，这些可信网络接技术则变得不适用了。为此，TCG定义了一种协同可信网络连接(Federated Trusted Network Connect，FTNC)模型，参见图1。

在图1所示的协同可信网络模型中，当终端请求访问依赖安全域(Relying Security Domain，RSD)的服务时，RSD需要从断言安全域(Asserting Security Domain，ASD)处获取终端的安全状态信息，而ASD需要利用TNC技术获取终端的安全状态信息。

上述FTNC模型存在一种间接交互方式，参见图2。

在图2所示的FTNC模型下的间接交互方式中，当终端请求RSD的服务时，ASD首先基于TNC技术获取终端的安全状态信息，然后根据所获取的终端的安全状态信息进行评估，将安全状态评估结果发送给终端，接着终端向RSD发送服务请求时将ASD对终端的安全状态评估结果发送给RSD，最后RSD验证ASD对终端的安全状态评估结果后根据验证结果向终端提供服务。

由于终端的安全状态评估结果要通过终端发送RSD，且ASD与RSD在过程中不存在直接交互，所以终端可以利用早期的终端的安全状态评估结果来欺骗RSD，从而形成重放攻击。但是，业内目前还没有出现相应的解决方法。为了解决这一问题，本发明将提供一种适合协同可信网络连接模型的间接交互实现方法。

发明内容

为了解重放问题，本发明提供了一种适合协同可信网络连接模型的间接交互实现方法，该方法包括

步骤一，ASD(Asserting Security Domain，断言安全域)由终端获取终端的安全状态信息，评估终端的安全状态信息产生安全状态评估结果，并将安全状态评估结果发送给终端；

步骤二，终端将ASD对终端的安全状态评估结果发送给RSD(RelyingSecurity Domain，依赖安全域)；以及

步骤三，RSD验证ASD对终端的安全状态评估结果后根据验证结果向终端提供服务；

其特点是，

在该方法中，ASD和RSD保持时钟同步；

在步骤一中，ASD产生终端的安全状态评估结果时还记录生成终端的安全状态评估结果时的时戳TS_ASD，并将TS_ASD发送给终端；

在步骤二中，终端还将TS_ASD发送给RSD；

在步骤三中，RSD还通过对比TS_ASD与RSD当前的时戳是否在一阈值范围内，判断TS_ASD是否新鲜有效，以此判断收到的ASD对终端的安全状态评估结果的新鲜有效性。

步骤一可包括

步骤1)，终端向ASD发送协同可信网络连接请求，协同可信网络连接请求包含RSD的身份标识ID_RSD；

步骤2)，ASD收到终端发来的协同可信网络连接请求后，发送协同可信网络连接响应给终端，协同可信网络连接响应中包含ID_RSD；以及

步骤二可包括

步骤3)，终端收到ASD发来的协同可信网络连接响应后，构造服务访问请求发送给RSD，服务访问请求包括ASD的身份标识ID_ASD。

步骤三可包括

步骤4)，RSD接收终端发送的服务访问请求后，通过对比TS_ASD与RSD当前的时戳是否在一阈值范围内，判断TS_ASD是否新鲜有效，以此判断收到的ASD对终端的安全状态评估结果的新鲜有效性；进而利用服务访问请求中收到除TS_ASD外的其他信息对终端访问进行决策，并根据决策向终端发送服务访问响应；

步骤5)，终端收到RSD发来的服务访问响应后，终端从RSD获取相应的服务。

所述的终端的安全状态信息来自协同可信网络连接请求或由ASD向终端请求终端提供安全状态信息。

步骤2)可包括

步骤21)，若可信网络连接请求中的信息中不包含终端的安全状态信息，则ASD向终端请求终端的安全状态信息且终端向ASD返回终端的安全状态信息，直至ASD根据从终端获取的终端的安全状态信息生成终端的安全状态评估结果，ASD构造协同可信网络连接响应发送给终端；

步骤22)，若可信网络连接请求中的信息中包含终端的安全状态信息，且ASD评估该安全状态信息足够用以进行评估，则ASD根据该安全状态信息生成终端的安全状态评估结果，ASD构造协同可信网络连接响应发送给终端；

步骤23)，若可信网络连接请求中的信息中包含终端的安全状态信息，且ASD评估该安全状态信息不足够用以进行评估，则ASD向终端请求终端的安全状态信息且终端向ASD返回终端的安全状态信息，直至ASD能够根据从终端获取的终端的安全状态信息生成终端的安全状态评估结果，ASD构造协同可信网络连接响应发送给终端。

在步骤2)中，ASD构造的协同可信网络连接响应，将TS_ASD和终端的安全状态评估结果发送给终端时，可通过加密的方式进行传输，其中，协同可信网络连接响应包括ID_RSD、ASD使用与RSD之间的密钥对供RSD进行决策的信息加密后的数据及完整性校验码MIC；其中，供RSD进行决策的信息包括TS_ASD及RES_EVA，加密后的数据用E(TS_ASD||RES_EVA)表示；MIC是由ASD利用与RSD之间的密钥对E(TS_ASD||RES_EVA)通过杂凑函数计算得到的杂凑值；此时步骤4)可包括

步骤41)，RSD利用与ASD之间的共享密钥验证MIC是否正确，若正确，则执行步骤42)；否则，丢弃该服务访问请求；

步骤42)，RSD用与ASD之间的共享密钥解密E(TS_ASD||RES_EVA)得到ASD提供的供RSD进行决策的信息，所述供RSD进行决策的信息包括TS_ASD以及RES_EVA；

步骤43)，RSD判断TS_ASD是否有效，RSD通过对比服务访问请求中TS_ASD与RSD当前时戳TS_RSD是否在所述阈值范围内，判断ASD时戳是否新鲜有效，以此判断RSD收到的RES_EVA的新鲜有效性，若有效，则执行步骤44)；否则，丢弃该服务访问请求；

步骤44)，RSD根据ASD提供的供RSD对终端访问进行决策的信息，对终端的服务访问请求做出决策，构造服务访问响应发送给终端，所述服务访问响应包括RSD对终端的服务访问请求的决策RES_ACC。

另外，当RSD需要终端的安全状态信息来进行决策时，所述步骤2)中，ASD构造的协同可信网络连接响应中包含的供RSD进行决策的信息还包含终端的安全状态信息Info_EVA；所述终端安全状态信息Info_EVA也通过加密方式传输，并对其计算完整性校验码。

可选的，在步骤2)中，ASD构造的协同可信网络连接响应，将ASD的时戳和终端的安全状态评估结果发送给终端时，还可通过签名的方式进行传输，其中，协同可信网络连接响应包括ID_RSD、供RSD进行决策的信息以及签名SIG_ASD-RSD；其中，供RSD进行决策的信息包括TS_ASD、RES_EVA；SIG_ASD-RSD是ASD使用ASD的私钥对ID_RSD||TS_ASD||RES_EVA的签名；此时步骤4)可包括

步骤41，)RSD验证SIG_ASD-RSD字段是否正确，若正确，则执行步骤4.2.2)；否则，丢弃该服务访问请求；

步骤42’)RSD判断TS_ASD是否有效，RSD通过对比TS_ASD与RSD当前时戳TS_RSD是否在所述阈值范围内，判断TS_ASD是否新鲜有效，以此判断RSD收到的RES_EVA的新鲜有效性，若有效，则执行步骤43’)；否则，丢弃该服务访问请求；

步骤43’)根据ASD提供的供RSD对终端访问进行决策的信息，对终端的服务访问请求做出决策，构造服务访问响应发送给终端，供RSD进行决策的信息包括TS_ASD以及RES_EVA，服务访问响应包括RES_ACC。

另外，当RSD需要终端的安全状态信息来进行决策时，所述步骤2)中，ASD构造的协同可信网络连接响应中包含的供RSD进行决策的信息还包含终端的安全状态信息Info_EVA；所述终端安全状态信息Info_EVA也作为被签名对象进行保护。

本发明还提供了一种适合协同可信网络连接模型的间接交互实现系统，该系统包括始终保持时钟同步的ASD(Asserting Security Domain，断言安全域)和RSD(Relying Security Domain，依赖安全域)以及终端，所述ASD对终端的安全状态进行评估，并将终端的安全状态评估结果和终端的安全状态信息通过终端发送给RSD，终端从RSD获取相应的服务。

本发明将ASD对于终端的安全状态评估结果通过终端发送给RSD，且ASD与RSD在过程中不存在直接交换，通过时钟同步，保证了RSD收到的ASD对终端的安全状态评估结果的不可重放。另外，本发明通过保密传输或者签名保证了RSD收到的ASD对终端的安全状态评估结果的可靠性。

附图说明

图1是背景技术中的协同可信网络连接模型；

图2是背景技术中的协同可信网络连接模型下的间接交互方式；

图3是本发明所提供的一种适合协同可信网络连接模型的间接交互实现方法示意图；

图4是本发明的方法流程图。

具体实施方式

为使得本领域技术人员更好的理解本发明内容，以下结合附图3和图4进行详细的说明。本发明所提供的一种适合协同可信网络连接模型的间接交互实现方法包括：步骤一，ASD由终端获取终端的安全状态信息，评估终端的安全状态信息产生安全状态评估结果，并将安全状态评估结果发送给终端；步骤二，终端将ASD对终端的安全状态评估结果发送给RSD的步骤；以及步骤三RSD验证ASD对终端的安全状态评估结果后根据验证结果向终端提供服务的步骤。具体来说本发明执行过程如下：

令ASD和RSD始终保持时钟同步；

步骤1)终端向ASD发送协同可信网络连接请求，可按照如下步骤进行：

步骤1.1)若终端不主动提供任何安全状态信息，则所述协同可信网络连接请求包括：

步骤1.2)若终端主动提供安全状态信息，则所述协同可信网络连接请求包括：

  ID_RSD  Info_SPI

其中：

ID_RSD字段：表示RSD的身份标识；

Info_SPI字段：表示终端的安全状态信息，是终端主动提供的的安全状态信息。

步骤2)ASD收到终端发来的协同可信网络连接请求后，发送协同可信网络连接响应给终端可按照以下步骤进行：

步骤2.1)ASD首先查看发来的协同可信网络连接请求中是否包含终端的安全状态信息，若不包含终端的安全状态信息，则执行步骤2.3)；若包含终端的安全状态信息，则执行步骤2.2)；

步骤2.2)评估步骤1)中ASD所获取的终端的安全状态信息，若ASD能够根据步骤1)中ASD所获取的终端的安全状态信息生成终端的安全状态评估结果，则ASD生成终端的安全状态评估结果，然后执行步骤2.4)；否则，执行步骤2.3)；

步骤2.3)向终端请求终端的安全状态信息，然后终端向ASD返回终端的安全状态信息，直至ASD能够根据从终端获取的终端的安全状态信息生成终端的安全状态评估结果，然后执行步骤2.4)；

步骤2.4)ASD根据下面步骤向终端发送协同可信网络连接响应；

步骤2.4.1)令ASD和RSD之间存在安全通道，即ASD和RSD之间存存安全密钥，以保证RSD收到的ASD对终端的安全状态评估的可靠性。若ASD不需要提供终端的安全状态信息供RSD进行决策，则所述协同可信网络连接响应包括：

  ID_RSD  E(TS_ASD||RES_EVA)  MIC

其中：

TS_ASD字段：表示ASD的时戳；

RES_EVA字段：表示ASD对终端的安全状态评估结果；

E(TS_ASD||RES_EVA)字段：表示密文信息字段，由ASD使用与RSD之间的密钥对ASD的时戳及ASD对终端的安全状态评估结果加密后的数据；

MIC字段：表示完整性校验码，由ASD利用与RSD之间的密钥对E(TS_ASD||RES_EVA)字段通过杂凑函数计算得到的杂凑值。

步骤2.4.2)令ASD和RSD之间存在安全通道，即ASD和RSD之间存在安全密钥，以保证RSD收到的ASD对终端的安全状态评估的可靠性。若ASD需要提供终端的安全状态信息供RSD进行决策，则所述协同可信网络连接响应包括：

  ID_RSD  E(TS_ASD||RES_EVA||Info_EVA) MIC

其中：

Info_EVA字段：表示终端的安全状态信息，是ASD收到的足够生成终端的安全状体评估结果的终端的安全状态信息；应注意，当Info_SPI足够生成终端的安全状体评估结果时，Info_EVA即等于Info_SPI；

E(TS_ASD||RES_EVA||Info_EVA)字段：表示密文信息字段，由ASD使用与RSD之间的密钥对ASD的时戳TS_ASD、ASD对终端的安全状态评估结果RES_EVA及终端的安全状态信息Info_EVA加密后的数据；

MIC字段：表示完整性校验码，由ASD利用与RSD之间的密钥对该评估结果响应分组中E(TS_ASD||RES_EVA||Info_EVA)字段通过杂凑函数计算得到的杂凑值。

或者

步骤2.4.1’)令ASD使用签名保证RSD收到的ASD对终端的安全状态评估的可靠性。若ASD不需要提供终端的安全状态信息供RSD进行决策，则所述协同可信网络连接响应包括：

 ID_RSD  TS_ASD  RES_EVA  SIG_ASD-RSD

其中：

SIG_ASD-RSD字段：表示ASD使用自己的私钥对ID_RSD||TS_ASD||RES_EVA的签名；

步骤2.4.2’)令ASD使用签名保证RSD收到的ASD对终端的安全状态评估的可靠性，若ASD需要提供终端的安全状态信息供RSD进行决策，则所述协同可信网络连接响应包括：

 ID_RSD  TS_ASD  RES_EVA  Info_EVA  SIG_ASD-RSD

其中：

SIG_ASD-RSD字段：表示ASD使用自己的私钥对ID_RSD||TS_ASD||RES_EVA||Info_EVA的签名；

步骤3)终端收到ASD发来的协同可信网络连接响应后，构造服务访问请求发送给RSD；

所述服务访问请求包括ASD发来的协同可信网络连接响应中除ID_RSD的所有字段及如下字段：

 ID_ASD

其中：

ID_ASD字段；表示ASD的身份标识；

步骤4)RSD收到终端发送的服务访问请求后，发送服务访问响应给终端可按如下操作进行：

若ASD和RSD之间存在安全通道，即ASD和RSD之间存在安全密钥，则RSD进行如下操作：

步骤4.1)首先利用与ASD之间的共享密钥验证MIC字段是否正确，若正确，则执行步骤4.2)；否则，丢弃该服务访问请求；

步骤4.2)用与ASD之间的共享密钥解密密文信息字段，即可得到ASD提供的供RSD进行决策的信息；其中，供RSD进行决策的信息包括ASD的时戳TS_ASD以及ASD对终端的评估结果RES_EVA，当RSD需要终端的安全状态信息来进行决策时，供RSD进行决策的信息还包含终端的安全状态信息Info_EVA；

步骤4.3)RSD判断ASD的时戳TS_ASD是否有效，RSD通过对比消息中ASD的时戳与RSD当前时戳是否在一定阈值(阈值的设置本发明不予限制和定义)范围内，判断ASD时戳是否新鲜有效，以此判断收到的ASD对终端的安全状态评估结果的新鲜有效性，若有效，则执行步骤4.4)；否则，丢弃该服务访问请求；

步骤4.4)若分组中包含终端的安全状态信息Info_EVA，则根据得到的ASD对终端的评估结果RES_EVA以及终端的安全状态信息Info_EVA，对终端的服务访问请求做出决策，构造服务访问响应发送给终端；若分组中不包含终端的安全状态信息Info_EVA，则根据得到的ASD对终端的评估结果RES_EVA，对终端的服务访问请求做出决策，构造服务访问响应发送给终端；所述服务访问响应包括：

  RES_ACC

其中：

RES_ACC字段；表示RSD对终端的服务访问请求的决策。

或者

若ASD使用签名保证RSD收到的ASD对终端的安全状态评估的可靠性，则RSD进行如下操作：

步骤4.1’)首先验证SIG_ASD-RSD字段是否正确，若正确，则提取分组中的供RSD进行决策的信息，执行步骤4.2’)；否则，丢弃该服务访问请求；其中，供RSD进行决策的信息包括ASD的时戳TS_ASD以及ASD对终端的评估结果RES_EVA，当RSD需要终端的安全状态信息来进行决策时，供RSD进行决策的信息还包含终端的安全状态信息Info_EVA；

步骤4.2’)RSD判断ASD的时戳TS_ASD是否有效，RSD通过对比消息中ASD的时戳与RSD当前时戳是否在一定阈值范围内，判断ASD时戳是否新鲜有效，以此判断收到的ASD对终端的安全状态评估结果的新鲜有效性，若有效，则执行步骤4.3’)；否则，丢弃该服务访问请求；

步骤4.3’)若分组中包含终端的安全状态信息Info_EVA，则根据得到的ASD对终端的评估结果RES_EVA以及终端的安全状态信息Info_EVA，对终端的服务访问请求做出决策，构造服务访问响应发送给终端；若分组中不包含终端的安全状态信息Info_EVA，则根据得到的ASD对终端的评估结果RES_EVA，对终端的服务访问请求做出决策，构造服务访问响应发送给终端；

所述服务访问响应包括：

  RES_ACC

步骤5)终端收到RSD发来的服务访问响应后，终端从RSD获取相应的服务。

为确保终端只能获取ASD有关于自己的安全状态评估结果和安全状态信息，且不被攻击者知道，防止终端可以利用该时戳下的其他终端的安全状态评估结果和安全状态信息来进行欺骗，在上述适合协同可信网络连接模型的间接交互实现方法中，终端和ASD之间的信息交互是利用终端和ASD之间的安全通道进行保护的。

综上所述，本发明通过ASD与RSD始终保持时钟同步，并在ASD通过终端将ASD对终端的安全状态评估结果发送给RSD时包含ASD生成终端的安全状态评估结果时的时戳，RSD通过对比消息中ASD的时戳与RSD当前时戳是否在一定阈值范围内，判断ASD时戳是否新鲜有效，以此判断收到的ASD对终端的安全状态评估结果的新鲜有效性，保证终端无法重放ASD之前对终端的评估结果发送给RSD。

综上所述，本发明除解决了重放问题外，还可防止终端篡改由ASD提供给RSD用于对终端访问进行决策的信息。为防止篡改，本发明提出了两种解决方案：

一种解决方案是在ASD通过终端向RSD提供用于对终端访问进行决策的信息时，通过将这些信息用ASD与RSD之间的密钥进行加密，并计算完整性校验码，保证终端无法篡改这些由ASD提供给RSD用于对终端访问进行决策的信息，也即保证了RSD收到的用于决策的信息的可靠性。此时，由ASD提供给RSD对终端访问进行决策的信息包括ASD对终端的安全状态评估结果、ASD的时戳，还可包含终端的安全状态信息。

另一种解决方案则是在ASD通过终端向RSD提供对终端访问进行决策的信息时，通过对这些信息进行签名，由RSD进行验签，保证终端无法篡改这些由ASD提供给RSD对终端访问进行决策的信息，也即保证了RSD收到的信息的可靠性，此时，由ASD提供给RSD对终端访问进行决策的信息包括ASD对终端的安全状态评估结果、ASD的时戳，还可包含终端的安全状态信息。

本发明还提供一种适合协同可信网络连接模型的间接交互实现系统，其特殊之处在于：该系统包括始终保持时钟同步的ASD(Asserting SecurityDomain，断言安全域)和RSD(Relying Security Domain，依赖安全域)以及终端，所述ASD对终端的安全状态进行评估，并将终端的安全状态评估结果和终端的安全状态信息通过终端发送给RSD，终端从RSD获取相应的服务。